"该文档是关于德米特dm3系列伺服驱动器应用的手册,主要讲解了执行阶段的测试策略,特别是如何使用IBM的Rational AppScan进行分阶段测试和任务分解,以优化大型网站的安全扫描。AppScan是一款用于Web应用安全测试的工具,能够自动检测并提供安全报告。"
在执行阶段,AppScan的扫描过程分为"探索"和"测试"两个关键阶段。默认情况下,AppScan采用完全扫描模式,即边探索边测试。对于大型网站,推荐采用先探索后测试的模式,以提高效率。当URL数量达到一定规模,如5000个,且需要测试的用例数超过50000个时,可暂停扫描,手动停止探索,然后选择"继续仅测试",对已发现的页面进行测试。完成测试后,再选择"继续仅探索",如此循环进行。
在进行分阶段测试时,需要注意监控`.Scan`文件的大小。如果文件大小超过500MB,应考虑任务分解,可以依据目录或扫描策略将一个大任务拆分成多个小任务。这种方法利用了AppScan的探索和测试可以分开执行,并支持中断后继续扫描的功能。
此外,实际操作中,大型网站通常包含多个频道,每个频道可能需要不同的扫描配置。例如,一个网站的BBS论坛页面结构相同,只需通过"冗余路径限制"参数来控制扫描次数,避免重复扫描。对于接受参数的Web服务,如内容频道,需要考虑参数的可行性及验证方式,确保安全。
在评估和准备阶段,应识别需要保护的Web服务资源,理解其安全风险,明确安全需求。这包括但不限于:确认访问是否需要认证、权限检查、参数校验、消息体中的敏感信息处理、数据传输和存储的安全性,以及与第三方应用的交互安全。这些评估结果将指导后续的安全设计和实现。
在安装AppScan时,推荐的硬件配置包括Pentium 4 2.4GHz处理器、2GB RAM以及30GB磁盘空间。内存和处理器建议更高配置,系统盘至少保留10GB空间。安装环境需具备配置好的TCP/IP网络通信。
安装AppScan 9.0版本时,可以从指定来源获取安装包。在安装前,应检查硬件配置是否满足上述要求,同时注意系统盘的空间分配,以确保AppScan能正常运行并保存用户文件。